Aktueller Stand der Umsetzung des IT- Sicherheitsgesetz aus Sicht des BSI

Transkript

1 Aktueller Stand der Umsetzung des IT- Sicherheitsgesetz aus Sicht des BSI Sebastian Magnus, Referent Kritische Infrastrukturen Grundsatz it-sa 2016, Nürnberg

2 Schutz Kritischer Infrastrukturen Sicherheits- & Risiko-Kultur Branchenspezifische Ausprägungen von 8a (1) Branchenspezifische Sicherheitsstandards Rechtssicherheit 8a (1) 8a (2) Wirksamkeit der Maßnahmen Auditierungspflicht (alle 2 Jahre) Nachweis gegenüber BSI Behebung von Sicherheitsmängeln 8a (3) 8a (4) Warnungen & Lagebilder BSI: Erstellung/Verteilung von Warnungen & Lagebildern KRITIS-Betreiber: Meldepflicht von (erheblichen) Vorfällen 8b (1) 8b (2) 8b (4) Regierungsrat Sebastian Magnus Aktueller Stand der Umsetzung des IT-Sicherheitsgesetzes aus Sicht des BSI Seite 2

3 KRITIS-Sektoren

4 8a (1) BSIG Sicherheit in der Informationstechnik Kritischer Infrastrukturen 8a (1) Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung nach 10 Absatz 1 angemessene organisatorische (2) Betreiber Kritischer Infrastrukturen und ihre Branchenverbände können branchenspezifische Sicherheitsstandards zur Gewährleistung der Anforderungen nach Absatz 1. im Benehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, 2. im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde. Stand der Technik spätestens nach zwei Jahren angemessene organisatorische und technische Vorkehrungen (3) Die Betreiber Kritischer Infrastrukturen haben mindestens alle zwei Jahre die Erfüllung der Anforderungen nach Absatz 1 auf geeignete Weise nachzuweisen. Der Nach soll eingehalten werden 1. die Übermittlung der gesamten Audit-, Prüfungs- oder Zertifizierungsergebnisse und 2. im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde die Beseitigung der Sicherheitsmän zur Vermeidung von Störungen [der IT]

5 8a (2) BSIG Branchenspezifische Sicherheitsstandards (B3S) 8a Betreiber können (1) Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung nach 10 Absatz 1 angemessene organisatorische (2) Betreiber Kritischer Infrastrukturen und ihre Branchenverbände können branchenspezifische Sicherheitsstandards zur Gewährleistung der Anforderungen nach Absatz Branchenspezifische Sicherheitsstandards 1. im Benehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, 2. im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde. Zur Gewährleistung der Anforderungen nach 8a (1) vorschlagen (3) Die Betreiber Kritischer Infrastrukturen haben mindestens alle zwei Jahre die Erfüllung der Anforderungen nach Absatz 1 auf geeignete Weise nachzuweisen. Der Nach 1. die Übermittlung der gesamten Audit-, Prüfungs- oder Zertifizierungsergebnisse und 2. im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde die Beseitigung der Sicherheitsmän BSI stellt Eignung fest

6 Branchenspezifische Sicherheitsstandards (B3S) Betreiber und Branchenverbände können B3S vorschlagen. Das BSI stellt auf Antrag fest, ob die B3S geeignet sind. B3S konkretisieren den Stand der Technik. Wichtig: Es gibt keine Pflicht zur Erstellung von B3S! Aber: B3S geben mehr Sicherheit. Orientierungshilfe, FAQ und Mapping-Tabelle veröffentlicht: Absender Titel der Präsentation TT.MM.JJJJ Seite 6

7 - Stufen-Eignungsprüfung eines B3S Orientierungshilfe Kapitel 1-4 Kapitel Prüfstufe: Anforderungen Scope 2. Prüfstufe: Stand der Technik Maßnahmen Vorgehensweisen Review: Überarbeitung Anlassbezogen oder nach 2 Jahren Komplexe Erstellung kann in Stufen aufgeteilt werden Kapitel 7 3. Prüfstufe: Nachweise Prüfschema Prüfende Stellen Zertifikate

8 8a (3) BSIG Nachweise der Sicherheit in der Informationstechnik Kritischer Infrastrukturen 8a (1) Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung nach 10 Absatz 1 angemessene organisatorische (2) Betreiber Kritischer Infrastrukturen und ihre Branchenverbände können branchenspezifische Sicherheitsstandards zur Gewährleistung der Anforderungen nach Absatz Betreiber weisen Erfüllung der Anforderungen nach 1. im Benehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, 2. im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde. (3) Die Betreiber Kritischer Infrastrukturen haben mindestens alle zwei Jahre die Erfüllung der Anforderungen nach Absatz 1 auf geeignete Weise nachzuweisen. Der Nach alle 2 Jahre 1. die Übermittlung der gesamten Audit-, Prüfungs- oder Zertifizierungsergebnisse und 2. im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde die Beseitigung der Sicherheitsmän durch Sicherheitsaudits, Prüfungen oder Zertifizierungen

9 Orientierungshilfe zu Nachweisen gemäß 8a (3) BSIG: Sicherheitsaudits, Prüfungen oder Zertifizierungen TAK Audits & Standards

10 Orientierungshilfe zu Nachweisen gemäß 8a (3) BSIG: Sicherheitsaudits, Prüfungen oder Zertifizierungen

11 Registrierung: Melde- und Informationsportal

12 BSI-Lagezentrum: Meldungen, Analyse, Warnungen

13 Meldekriterien und -schwellen Absender Titel der Präsentation TT.MM.JJJJ Seite 13

14 Vielen Dank für Ihre Aufmerksamkeit! Kontakt Vorname Nachname Titel / Bezeichnung /Referat (Vizepräsident) vorname.nachname@bsi.bund.de Tel. +49 (0) xxxx Fax +49 (0) xxxx Bundesamt für Sicherheit in der Informationstechnik (BSI) Godesberger Allee Bonn Absender Titel der Präsentation TT.MM.JJJJ Seite 14